XDSpy
Les activités d'un groupe de contrôle qui a échappé à l'attention de la communauté infosec depuis au moins 2011 ont été enfin mises en lumière. Les chercheurs ont appelé le collectif criminel XDSpy, et ils pensent qu'il s'agit d'un APT (Advanced Persistent Threat) financé par l'État. Le principal théâtre d'opérations de XDSpy est l'Europe de l'Est et les Balkans, avec ses cibles allant des entités privées aux organisations gouvernementales.
La première fois que les opérations du groupe ont été détectées de manière concluante, c'est lorsque l'équipe d'intervention d'urgence informatique biélorusse a publié un avertissement indiquant que le collectif de hackers alors sans nom tentait de collecter des données auprès des ministères du pays. Outre la Biélorussie, XDSpy a ciblé des entités situées en Russie, en Moldavie, en Ukraine et en Serbie, entre autres. Les victimes présentent un nombre considérable de types différents, allant des entreprises aux entités militaires et diplomatiques. Les chercheurs en sécurité ont remarqué que les pirates fonctionnaient selon un mode de travail de cinq jours et synchronisaient leurs opérations avec le fuseau horaire local des victimes.
XDSpy s'appuie sur des outils malveillants basiques mais efficaces
La boîte à outils utilisée par XDSpy montre peu en termes de fonctionnalités sophistiquées, mais cela ne signifie en aucun cas qu'elle n'est pas efficace. Le vecteur d'attaque préféré du groupe est le spear-phishing, avec des e-mails contenant des pièces jointes empoisonnées. Habituellement, ce sont des archives telles que des fichiers RAR ou ZIP, mais ils peuvent également être des fichiers Powerpoint ou LNK. Certains e-mails incluaient un lien vers le fichier contenant la menace du logiciel malveillant. L'attaque elle-même a été divisée en plusieurs étapes. L'exécution du fichier corrompu à partir du courrier électronique exécute un script chargé de télécharger la charge utile principale appelée XDDown. Une fois qu'il est installé avec succès, XDDown peut supprimer des modules malveillants supplémentaires conformément aux objectifs spécifiques des pirates. Les noms donnés aux charges utiles secondaires sont XDREcon, XDList, XDMonitor, XDUpload, XDLoc et XDPass.
Dans l'ensemble, les outils utilisés par XDSpy comprenaient des techniques anti-analyse telles que l'obfuscation de chaînes et le chargement dynamique de la bibliothèque d'API Windows. Leurs principales activités sur le système compromis étaient de surveiller les lecteurs amovibles, les captures d'écran et l'exfiltration des données.
